碉堡堡垒机-运维操作审计员手册.doc

碉堡用户操作手册
——运维操作审计员
北京维方通信息技术有限公司

目录
第一章概述 3
手册阅读附加说明............. 3
适用版本............................. 3
第二章对设备操作的审计 3
图形会话的审计................. 3
4
5
5
6
7
7
字符会话的审计................. 8
8
9
9
10
10
11
概述
本手册为“碉堡堡垒机”(以下简称“碉堡”)运维操作审计员手册,可以作为运维操作审计员技术手册参考资料。
手册阅读附加说明
红色字体表示操作中的关键点,例如:
用户管理—添加用户—填写信息
意为:先点击“用户管理连接”,在出现的页面中再点击“添加用户连接”,在出现的页面中“填写信息”;
带下划线的文字
表示用户特别需要注意的内容,一般为注意事、提示和建议;
适用版本
本手册依据“碉堡内控堡垒主机”,。
对设备操作的审计
审计管理员对目标设备操作的审计针对于所有用户对设备进行的访问、操作。
因用户对目标设备的操作分为图形方式和命令(字符)方式,所以审计管理员对各种操作的审计也分为图形会话审计和字符会话审计,而对于数据库会话进行单独审计。
图形会话的审计
审计管理员如何审计图形会话的、图形会话可以审计的相关内容有哪些?比如某个用户以图形方式在访问diaobao的一台目标设备,审计管理员要如何得知此用户的操作,用户的操作是否影响到目标设备的安全?
下面我们通过对用户audit以图形方式访问一台linux目标设备的操作进行审计,以此为例来说明图形会话的审计。

查看范例之前运维操作审计员需要先了解图形会话记录的内容,下面将对图形会话的记录作详细的解述。
请运维操作审计员登录diaobao,打开审计管理—运维操作审计页面,见下图:
访问者:此次会话由那个IP来进行访问的
资源:被访问设备
审计节点:被访问者IP
协议|账号:用户访问目标设备所用到的访问方式和账号。
ssh:Linux目标设备;
root:访问目标设备的账号;
访问时间:此次会话用户登录设备的开始时间;
时长|流量:用户访问目标设备所用时间和流量,
在线:指用户还在目标设备上,此次图形会话还在进行中。
状态:指此次图形会话的状态。3种:成功、失败、阻断中。
成功:指用户已结束此次会话或正在访问。
失败:指用户此次会话未成功。
阻断中:指用户正在切断此次会话。
功能:指对会话的查看,有以下情况:
回放:用户成功结束会话后可点击回放查看此次用户会话操作。
错误信息:点击后查看此次会话连接失败的信息。

离线播放图形会话需要安装播放工具。
审计管理—单点登录/回放控件下载,下载播放工具,如图:
下载并安装。
播放工具详解,见下图:
播放工具条位于审计窗口下方,按照从左向右的顺序,各按钮含义如下:
播放按钮,点击开始播放。
暂停按钮,点击暂停播放。
停止按钮,点击停止播放。
播放速度,数值越大播放速度越快。

所谓实时审计是指对状态为活动的会话进行实时监控。
,不退出目标设备。
打开审计管理—运维操作审计可看到时长|流量下显示在线,见下图:
单击此会话的实时监控,出现如下图:
审计管理员通过这种方式能监控用户在windows的所有操作。

运维操作审计员可对在线的回话进行切断,回话切断后,用户将会强制退出目标设备。比如:当审计管理员在实时监控用户user01在设备windows上的操作时,发现用户user01准备格式化C盘。审计管理员可切断此会话,不允许用户user01对设备windows进行操作。
打开审计管理—运维操作审计页面,点击用户user01访问windows图形会话记录对应的阻断。阻断后页面显示:如下图:

用户如要查询某些具体会话,可选用如下2种方式进行查询:
正常的查询筛选:
打开审计管理—